Het internet is zonder twijfel een van de grootste, revolutionaire producten in de geschiedenis. Het is het platform dat vorm geeft aan diverse andere, op zichzelf staande, revoluties, denk aan de Arabische Lente, maar ook de 3D printer. Het internet is een wereld op zich. Een wereld die verkend moet worden, maar een ook wereld waar tegenwoordig cruciale veldslagen plaatsvinden in tijden van oorlog. Het is óók het perfecte instrument voor inlichtingsdiensten. Alles kunnen we tegenwoordig door het internet zien, voelen, kopiëren en in de gaten houden. Het internet biedt eindeloos veel nieuwe mogelijkheden en verbindt mensen.
Direct contact met de andere kant van de wereld is nodig. Mensen op de noordpool maken zich zorgen om het welzijn van mensen op de zuidpool. Het internet maakt dingen zichtbaar en meetbaar. Maar is het internet wel robuust en solide genoeg om ons in de toekomst te voorzien in de waarden en normen waarin wij met onze naasten hebben afgesproken te leven?
Het internet is nu grofweg 30 jaar oud en is nog steeds extreem flexibel. Die flexibiliteit komt met name voort uit economische en politieke druk. De ‘Dot Com bubbel’ is daar een goed voorbeeld van, maar ook we zien dit ook bij de onthullingen van Edward Snowden. Het feit dat zulke relatief eenvoudige onthullingen zoveel teweeg kunnen brengen in het internetlandschap, geeft wel aan dat Het Internet ‘far from mature’ is.
In de beginjaren werd het internet met name door wetenschappers gebruikt om informatie uit te wisselen. Om dit zo snel en efficiënt mogelijk te doen, hebben deze wetenschappers een internet gecreëerd dat zo snel mogelijk en zo goed mogelijk functioneerde. Deze gedachte heeft ervoor gezorgd dat dit internet is ontworpen met op basis van vertrouwen. In de begindagen heeft men ongetwijfeld aan de mogelijkheid van misbruik gedacht, maar dat was in die periode ondergeschikt aan het belang van goed werkende infrastructuur. Securityproblemen waren een probleem voor ‘later’. Geen beveiliging is goedkoper, makkelijker en prestatietechnisch gezien ook ‘sneller’. Dat ‘later’ begon zich echter al vrij snel op te dringen nadat het internet een explosieve groei doormaakte en alles aan het internet gekoppeld werd.
Toen een destijds befaamde hacker groep, “L0pht”, een presentatie gaf aan het Amerikaanse congres vertelden zij binnen 30 minuten het internet uit te kunnen zetten door gebruik te maken van verschillende protocollen. Een van de belangrijkste protocollen om goed met elkaar te kunnen communiceren is BGP. Dit protocol wordt door de grotere providers gebruikt om met elkaar te kunnen praten en informatie met elkaar uit te wisselen en is gebaseerd op basis van vertrouwen; er is geen manier om je buurman(de andere provider) op correctheid te controleren. Je moet hem maar op zijn blauwe ogen geloven. De jongens van de l0pth legden dit ook keurig uit aan het Amerikaanse congres. Hoe het er vandaag de dag mee staat? Ach, aanvallen worden slechts sporadisch gesignaleerd en af en toe worden er bitcoins gestolen, who cares?
Tijdens de opkomst van het internet zijn een aantal Amerikaanse partijen zeer grote spelers, en daarmee wereldmachten, geworden. De beste voorbeelden zijn Microsoft en Google, iedereen werkt op computers met producten van Microsoft en iedereen gebruikt Google om op het internet te zoeken. Dat dit een gevaar is, begrepen mensen al wel. Maar het moet eerst fout gaan, voordat men het ook daadwerkelijk beseft. En die fout werd tenslotte gemaakt door de NSA. Zij hebben deze grootmachten gebruikt om als bron te dienen voor ‘internet surveillance’ op ongekende schaal.
Dat het mogelijk was om het internet te gebruiken voor ‘surveillance’ wisten we eigenlijk ook altijd al. Vrijwel iedere techneut wist dat het mogelijk was: op congressen als CCC wordt al jaren gepraat dat staten dit soort dingen doen. Op het Nederlandse Hack in the Box gaf Rop Gongrijp op 25 mei 2012 hier een presentatie over. Deze presentatie werd toen nog door iemand afgedaan als FUD (Fear, Uncertainty and Doubt). Echter, vijf dagen vóór deze bewuste presentatie vloog Edward Snowden naar Hong Kong, om enkele dagen later de volledige compositie van het internet blijvend te veranderen.
Sinds de start van het internet is cryptografie altijd al ‘een ding’ geweest. Zo waren er de fameuze ‘crypto wars’. Diverse cryptografische oplossingen werden op het internet aangeboden en verspreid, maar tot nu toe heeft geen van de cryptografie oplossingen een groot publiek weten te bereiken. Mijns inziens is cryptografie de basis van een vertrouwensrelatie op het internet, maar deze moet dan wel volledig vanuit de basis zijn geïmplementeerd. Dat is op dit moment niet het geval. Zo hebben we ooit een certificaathouder in Nederland gehad die vertrouwen verkocht door middel van cryptografische certificaten. Enfin, iedereen weet hoe het met DigiNotar is afgelopen.
Het gebruik van versleuteling wordt ook veel voor email gebruikt. Techneuten kunnen hier prima mee werken, maar echt fijn is het niet. Vind maar eens dat ene belangrijke mailtje terug in je inbox. Een zoekfunctie werkt namelijk niet binnen een encrypted container. Sinds de onthullingen van Edward Snowden is er echter wel vaart gekomen in het gebruik van werkbare cryptografie. Op het moment dat Facebook WhatsApp overnam waren wij het allemaal zat. Een Amerikaanse overheid die onze WhatsApp berichten meeleest, nee liever niet! We stapten over naar het Russische Threema, maar wie gebruikt dat nu eigenlijk nog?
* encryptie is het versleutelen of vercijferen van een boodschap.
Hackergroep L0pht verklaarde tegenover het Amerikaanse congres het internet binnen 30 minuten uit te kunnen schakelen. Dat dit ook daadwerkelijk mogelijk is, bewees de NSA tijdens de burgeroorlog in Syrië. Om het internet aldaar beter te monitoren besloot de NSA een update op alle ‘core routers’ van het land uit te voeren. Men maakte hierbij echter een fout, waardoor alle routers uitvielen en het internet in het gehele land uitviel.
En wij die arme Bashar maar de schuld geven… Het uitvallen van het gehele internet illustreerde wel perfect welke macht de NSA over het internet van Syrië wist uit te oefenen: volledige controle. Zoals L0pht ons al verteld had dat mogelijk was.
Hoewel wij als Westerse samenleving traditioneel gezien het liefst de Russen overal de schuld van geven, valt dat op het internet erg mee en geven we vooral de Amerikanen de schuld. Maar is dat wel terecht? Er is een aparte pagina over de cyber aanvallen op Estland in 2007. Datzelfde geld voor de cyberaanvallen in 2008 op Georgië. Uit deze aanvallen kan worden opgemaakt dat Rusland op eniger wijze controle weet uit te oefenen over grote botnets. Botnets zoals bijvoorbeeld het Pobelka botnet dat in 2012 ongeveer de hele BV Nederland infecteerde.
De Chinezen worden door ons, het Westen, vooral uitgelachen vanwege de beperkte vrijheid die men daar op internet geniet. Zo had men als eerste de ‘Great Chinese Firewall’ en daar bleef het niet bij. Zoekmachine’s als Google werden strikte voorwaarden opgelegd om te mogen opereren binnen China. Een onderwerp dat echter zeker niet mag worden vergeten is de grote interesse vanuit China in onze technologische kennis. China staat bekend vanwege de vastberadenheid om buitenlandse bedrijven te hacken, dit doen ze op een opvallende en langdurige wijze. Men is ‘determined’ om binnen te komen. En zodra men binnen is, wordt al het intellectueel eigendom van het bedrijf keurig ingepakt in een zip file en richting China retour gestuurd. Eenieder die kijkt naar de Chinese Chengdu J-20, de Chinese equivalent van onze JSF, ziet dat het toestel verassend veel op onze JSF lijkt. Maar belangrijker is dat experts belangrijke JSF ‘geheimen’ hebben zien opduiken bij deze Chengdu J-20. De Amerikaanse inlichtingen- diensten hebben deze Chinese spionage zelfs een code naam gegeven: Operation Byzantine Hades.
Vrijwel iedereen gebruikt, zoals gezegd, Google voor zoekopdrachten, en heeft verder een Facebook profiel en gebruikt Gmail of Outlook voor email. Dit houdt in dat deze derde partijen -welke onderhevig zijn aan Amerikaanse wetten- onze data beheren. Op basis hiervan hebben besluiten, die in Amerika worden genomen, direct betrekking op ons en onze data. Willen we zoiets wel?
Hetzelfde geldt voor censuur. Het Amerikaanse Facebook heeft voor ons bepaald dat wij geen blote tepel willen zien en dus ook niet mogen zien. Maar hier in Nederland is die mening heel anders, en aanbidden wij de selfies van Heleen van Rooyen.
Zelf ben ik een zeer idealistisch persoon, een open en vrij internet is voor mij altijd een streven geweest. Ik was dan ook altijd erg enthousiast wanneer landen als Nederland, maar ook Chili, wetten over netneutraliteit aannamen. Enorm belangrijke beslissingen voor de toekomst van het internet. Wat echter niet vergeten moet worden, is dat een overheid de taak heeft zijn of haar burgers te beschermen. Het internet is een nieuwe wereld die in feite geen grenzen kent en geen barriëres heeft die een kader van normen en waarden illustreren.
Er zijn ook geen barrières die sociaal- en maatschappelijk geaccepteerde gedragingen onderscheiden of controleren. Als voetnoot wordt altijd de fysieke locatie van een, op internet aangesloten, apparaat gebruikt om te bepalen welke wetten en regelgeving er voor gelden. Maar dat is nu juist net hoe internet níet werkt. Internet bevindt zich in een vreemd kabeltje en gaat in theorie in 1 seconde 7 keer rond de aarde, dát is waar het internet zich fysiek bevindt. En die omgeving is op dit moment feitelijk wetteloos. Als het gaat om het beschermen van burgers op het internet is dat op dit moment niet mogelijk. Er is geen douane beambte die een Russisch IP pakketje fouilleert, of een 100% controle uitvoert bij de Surinaamse IP pakketjes.
Als we kijken naar onze rechtstaat zijn de grenzen voor een Nederlandse hacker die een andere Nederlander hackt duidelijk: de gevangenis in. Maar hoe zit dat met de Russen die ons continue hacken? En de Chinezen? Die hebben vrij spel, niemand die daar echt tijd noch moeite in investeert om deze personen te vervolgen. Doen die landen zelf dan iets tegen de hackende burgers aldaar die ons aanvallen? Vrijwel niets, zolang de eigen bevolking (en dat is waar het bij politiek om draait) maar niet word aangevallen.
Er komt een moment dat ons tolerantiepotje overstroomt en wij verder geen aanvallen uit dergelijke landen meer accepteren. Er moet echter vaak eerst een grens worden overschreden om tot actie over te gaan. Edward Snowden is de man die ons heeft verteld waar zo’n grens ligt. Rusland en China accepteren het niet langer en kondigen maatregelen aan, Rusland wil werken aan een eigen internet. Brazilië en ook Duitsland zijn de Amerikaanse bemoeienis ook zat en kondigen aan te willen werken aan een eigen internet.
Zo’n drie tot vier jaar geleden verkondigde ik wel eens dat het een utopie was een open en vrij internet, zoals wij het destijds kenden, in stand te houden. Die mening werd mij veelal niet in dank afgenomen en kwam me geregeld op veel kritiek te staan. Een landelijk internet leek mij een beter idee. Een landelijk internet waarbij de sluizen voor verkeer vanuit Europa misschien iets makkelijker geopend kunnen worden dan wanneer er verkeer vanuit Azië, het Midden-Oosten of Amerika ons land probeert binnen te komen.
Het internet is gebouwd op basis van vertrouwen en dat vertrouwen is inmiddels meermaals geschonden. In mijn optiek is de huidige opzet van het internet niet toereikend genoeg om aan de diverse, in de wereld geldenden, veiligheidsnormen te kunnen voldoen. Normen en waarden spelen daarbij een grote rol, maar ook de menselijke behoefte op vergelding. Vergelding omdat we het vervelend vinden dat iemand op oneerlijke wijze een voorsprong heeft weten te bemachtigen. Om die reden zullen er diverse initiatieven komen om het internet te gaan vervangen en anders in te richten. Een internet waarbij authenticiteitsgaranties kunnen worden aangebracht en welke veiligheidsmaatregelen heeft ingebouwd die overeen komen met onze fysieke landsgrenzen. Dat is waar we mijns inziens naar toe gaan. Een soort internet 2.0. Maar dan een Europees broertje, met waarschijnlijk een Amerikaanse vader.